О том как (и от чего) спасаться и куды бечь, #3, оно же root of trust
Так как у нас началась рабочая неделя, следующие заметки на эту тему будут короче. Писать рассчитываю закончить к концу недели. Доделать и выложить через несколько месяцев.
Напоминаю, что я описываю решение для себя, в рамках тех угроз которые считаю релевантными опять же для себя, своих умений и возможностый, а так же бюджета и времени которые я готов на это потратить.
Если (или когда) я это доделаю, это превратиться в пошаговую инструкцию на тему как такое сделать самому.
Делать самому, да еще и одновременно с публикацией этих заметок, рекомендую исключительно если вы уверены в собственных силах на свой страх и риск, и если вы мне доверяете( а именно этого я вам как раз и не рекомендую).
Начнем со страшных тайн (уууууууууууу!)
Страшная тайна #0: безопасность это не состояние, а процесс и процедуры.
Страшная тайна #1: безопасность стоит денег
Страшная тайна #2: безопасность стоит времени
Страшная тайна #3: безопасность, которая никому не мешает - не работает, т.е. безопасность стоит удобства
Осознав страшные перспективы заката солнца вручную, отказа от облачных решений больших провайдеров, а так же заложив на все про все определенный бюджет, начнем же, благословлясь.
Сейчас мы попытаемся построить вещь, которой мы доверяем, она же root of trust и на доверии к этой вещи мы будем строить все остальное.
Делать ее нужно самому[иначе придеться доверять кому-то еще в той мере в которой он участвует], уметь апгрейдить и чинить если сломается самостоятельно, а так же регулярно проверять работоспособность.
Штука, которую мы будем делать должна быть независима от Apple, Google, Microsoft, Амазон и компаний которыми они владеют.
Аутентикация этой штуки не должна зависеть от ваших основных эккаунтов и в идеале ее должно быть сложно привязать лично к вам если ее не видят у вас в руках.
В идеале эта штука должна быть либо заговорена, либо привинчена к полу (топографический знак лопата) чтоб не стырили.
В идеале она должна быть легко носима в руках (чтобы при пожаре ее можно было схватить вместе с тревожным чемоданчиком и убежать), у нее должен быть независимый (не обязательно шибко быстрый) доступ в интернет,
хранение данных на ней в идеале должно быть зашифровано (не обязательно), и стоить она должна относительно дешево, и в нормальной ситуации она не должна быть использована ни для чего другого.
Совсем в идеале (это про Израиль, не знаю есть ли аналоги такого дела в других странах) все это должно оплачиваться с почтовой карточки Виза[дебетовая заряжаемая внебанковская карта, которую можно сделать на почте] чтобы не зависеть от банка. Хотя мы и не пытаемся спасаться от государства, иметь такую штуку для покупок которые сложнее привязать лично к вам - совсем не лишнее дело.
Вам нужны следующие вещи, которые придеться купить:
1 - Внешний домашний диск для бэкапов, можно не один (4ТБ стоят вполне подьемные деньги). Если вы раскошелитесь на домашний NAS и умеете его конфигурировать - еще лучше.
2 - Компьютер, присоединенный к интернету, на котором будет бежать надежный Linux (иначе здравствуй Apple, Microsoft или Google), не обязательно мощный (Raspberry PI 4 сгодится, отдельный интернет с помощью usb модема, желательно не от того провайдера в котором у вас сотовый телефон).
3 - Если вы параноик и боитесь провайдера, вам нужен VPN.
Вам нужны следующие вещи, которые стоит зарегистрировать:
1 - Отдельный backup e-mail account на, например, ProtonMail, далее называемый backup e-mail address. Логин/пароль записать на трех бумажках и засунуть в разные места, где вы их точно не потеряете. Пароль должен быть длинный и сложный. Если дефолтных 500МБ вам недостаточно - покупаем premium plan с той самой визы.
2 - Отдельный основной e-mail account не связанный с основными вендорами (можно тот же ProtonMail, premium plan оплачиваем оттуда же), с уже имеющегося gmail и прочего настраиваем auto-forwarding и постепенно переходим на него.
3 - В качестве recovery e-mail везде где можно(включая основные почтовые эккаунты) указываем наш backup e-mail account.
Вам нужны следующие вещи, которые вам придеться написать самим, регулярно делать самим или найти готовыми к использованию:
1 - Для всех сервисов, которыми вы пользуетесь и данные которых боитесь потерять настроить backup, который пойдет на этот самый диск. Там где такой возможности нет - нужно либо смириться с возможной потерей данных, либо регулярно делать ее вручную, либо кодить этот backup самому.
2 - Бэкап запускать автоматически через cron, срок определите сами.
3 - Проверка целостности архива должна выполняться автоматически через тот же cron раз в неделю (сравнения sha256 забэкапленных файлов с предыдущим значением замерянным неделей ранее вполне подойдет)
4 - В случае проблем с чексуммами на основной эккаунт должно автоматически отсылаться письмо, с которым вы что-то сделаете, когда его увидите.
5 - Данные аутентикации на backup e-mail account можно спокойно хранить еще и на том же Raspberry PI
Все восстановление паролей и бэкап должно делаться с этого Raspberry PI или что вы там вместо него выберете.
Что мы получаем при такой системе, когда она работает:
1 - если интернет, телефон и телеграф на основных эккаунтах сломались у нас остается возможность связаться со внешним миром
2 - Бэкапы сами по себе полезны
3 - У нас появляется свой, полезный и не скучный тамагучи
4 - Мы точно знаем на что завязаны наши эккаунты на случай взлома, потери пароля, и т.д.
5 - Наш root of trust не зависит ни от Гугла, ни от Эппла, ни от Мелкософта, ни от Амазона, но при этом мы должны заниматься им сами, что стоит временин и денег.
Продолжение следует.
Предыдущие заметки:
#2 https://www.facebook.com/michael.atlas.90/posts/10225323445496351
#1 https://www.facebook.com/michael.atlas.90/posts/10225319978649682